Intrusion Detection System
topic kurze Beschreibung
Beschreibung
Intrusion Detection System
Ein Intrusion Detection System ( „Eindringen“, IDS) bzw. Angriffserkennungssystem ist ein System zur Erkennung von Angriffen, die gegen ein Computersystem oder Rechnernetz gerichtet sind.
- Das IDS kann eine Firewall ergänzen oder auch direkt auf dem zu überwachenden Computersystem laufen und so die Sicherheit von Netzwerken und Computersystemen erhöhen.
- Erkannte Angriffe werden meistens in Log-Dateien gesammelt und Benutzern oder Administratoren mitgeteilt; hier grenzt sich der Begriff von Intrusion Prevention System ( „Verhindern“, IPS) ab, welches ein System beschreibt, das Angriffe automatisiert und aktiv verhindert.
Intrusion Prevention System
Als Intrusion-Prevention-Systeme (kurz: IPS) werden Intrusion-Detection-Systeme (kurz: IDS) bezeichnet, die über die reine Generierung von Ereignissen (Events) hinaus Funktionen bereitstellen, die einen entdeckten Angriff abwehren können.
Architekturen
Man unterscheidet drei Arten von IDS:
Host-basierte IDS
- HIDS stellen die älteste Art von Angriffserkennungssystemen dar.
- Sie wurden ursprünglich vom Militär entwickelt und sollten die Sicherheit von Großrechnern garantieren.
- Ein HIDS muss auf jedem zu überwachenden System installiert werden.
- Der Begriff „Host“ ist im Sinne der Informationstechnik zu verstehen, und nicht etwa als Synonym eines Großrechners.
- Ein HIDS muss das Betriebssystem unterstützen.
- Es erhält seine Informationen aus Log-Dateien, Kernel-Daten und anderen Systemdaten wie etwa der Registrierungsdatenbank.
- Es schlägt Alarm, sobald es in den überwachten Daten einen vermeintlichen Angriff erkennt.
- Eine Unterart der HIDS sind sogenannte „System Integrity Verifiers“, die mit Hilfe von Prüfsummen bestimmen, ob Veränderungen am System vorgenommen wurden.
- Vorteile
- Sehr spezifische Aussagen über den Angriff.
- Kann ein System umfassend überwachen.
- Nachteile
- Kann durch einen DoS-Angriff ausgehebelt werden.
- Wenn das System außer Gefecht gesetzt wurde, ist auch das IDS lahmgelegt.
Netzwerk-basierte IDS
- NIDS versuchen, alle Pakete im Netzwerk aufzuzeichnen, zu analysieren und verdächtige Aktivitäten zu melden.
- Diese Systeme versuchen außerdem, aus dem Netzwerkverkehr Angriffsmuster zu erkennen.
- Da heutzutage überwiegend das Internetprotokoll eingesetzt wird, muss auch ein Angriff über dieses Protokoll erfolgen.
- Mit nur einem Sensor kann ein ganzes Netzsegment überwacht werden.
- Jedoch kann die Datenmenge eines modernen 1-GBit-LANs die Bandbreite des Sensors übersteigen.
- Dann müssen Pakete verworfen werden, was keine lückenlose Überwachung mehr garantiert.
- Vorteile
- Ein Sensor kann ein ganzes Netz überwachen.
- Durch Ausschalten eines Zielsystems ist die Funktion des Sensors nicht gefährdet.
- Nachteile
- Keine lückenlose Überwachung bei Überlastung der Bandbreite des IDS.
- Keine lückenlose Überwachung in geswitchten Netzwerken (nur durch Mirror-Port auf einem Switch).
- Keine lückenlose Überwachung bei verschlüsselter Kommunikation (kann zwar möglicherweise die Datenpakete sehen, aber nicht den verschlüsselten Inhalt)
Hybride IDS
- Hybride IDS verbinden beide Prinzipien, um eine höhere Abdeckung bei der Erkennung von aufgetretenen Angriffen gewährleisten zu können.
- Man spricht in diesem Zusammenhang von netz- und hostbasierten Sensortypen, die an ein zentrales Managementsystem angeschlossen sind.
- Viele heute eingesetzte IDS beruhen auf einer solchen hybriden Funktionsweise.
- Ein hybrides IDS besteht zumeist aus folgenden Komponenten
- Management
- Hostbasierte Sensoren (HIDS)
- Netzbasierte Sensoren (NIDS)
Intrusion Prevention System
Funktion
- Intrusion-Detection- und Intrusion-Prevention-Systeme sind Werkzeuge, die den Datenverkehr zu/von IT-Systemen oder Netzen aktiv überwachen.
- Das Ziel ist es, Ereignisse herauszufiltern, die auf Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen hindeuten.
- Ereignisse sollen dabei zeitnah erkannt und gemeldet werden.
- Die Verfahren basieren auf Mustererkennung, um ein Abweichen von einem Normalzustand zu signalisieren.
- Mit heuristischen Methoden sollen auch bisher unbekannte Angriffe erkannt werden.[1]
- Während IDS Angriffe nur erkennen, sollen IPS diese auch abwehren bzw. verhindern.
- Allerdings wurde der Begriff ursprünglich durch das Marketing geprägt, was dazu führte, dass teilweise kontroverse Vorstellungen darüber existieren, inwiefern von einem Intrusion-Prevention-System gesprochen werden kann.
- Die durch die Untersuchung der Daten durch ein IPS-System hervorgerufene Latenzzeit liegt üblicherweise bei unter 100 Mikrosekunden[2].
- Eine weitere Funktion von einigen OSI-Layer-2-basierten IPS-Systemen ist die Weiterleitungsmöglichkeit von IP-Rahmen selbst bei Stromausfall des IPS-Systems ("Zero Power High Availability").
- Folgende Charakteristika werden häufig als Attribute eines Network-based IPS hervorgehoben
- das IPS wird inline (im Übertragungsweg) eingesetzt und kann im Alarmfall den Datenstrom unterbrechen oder verändern
- das IPS verfügt über Module, die aktiv die Regeln von Firewallsystemen beeinflussen.
- Somit kann indirekt der Datenstrom unterbrochen oder verändert werden
- Man unterscheidet nach ihrer Funktionsweise verschiedene Arten von IPS
- Das HIPS (Host-based IPS) wird auf dem Computer ausgeführt, in den ein Eindringen verhindert werden soll.
- Das NIPS (Network-based IPS) hingegen überwacht den Netzwerkverkehr, um angeschlossene Computer vor Eindringlingen zu schützen.
- Das CBIPS (Content-based IPS) untersucht hierbei den Inhalt der übertragenen Daten auf potentiell gefährliche Komponenten.
- Das Protocol Analysis IPS analysiert die Übertragungen auf Protokollebene und sucht dabei nach eventuellen Angriffsmustern.
- Das RBIPS (Rate-based IPS) überwacht Art und Menge des Datenverkehrs, um netzwerktechnische Gegenmaßnahmen einleiten zu können.
Open-Source-Implementationen
- Snort
- Untangle NIPS
- Lokkit
Anwendungen
Fehlerbehebung
Syntax
Optionen
Parameter
Umgebungsvariablen
Exit-Status
Konfiguration
Dateien
Sicherheit
Siehe auch
Dokumentation
RFC
Man-Pages
Info-Pages
Links
Einzelnachweise
Projekt
Weblinks
Testfragen
Testfrage 1
Antwort1
Testfrage 2
Antwort2
Testfrage 3
Antwort3
Testfrage 4
Antwort4
Testfrage 5
Antwort5
TMP
Nachteile
- Da ein Intrusion-Detection- oder Intrusion-Prevention-System in der Regel eine aktive Komponente ist, besteht die Möglichkeit, dass es als Angriffsziel genutzt wird.
- Intrusion-Detection- bzw. Intrusion-Prevention-Systeme, die sich in-line – d.h. ohne gebundenen IP-Stack und IP-Adressen – in ein Netzwerk einbinden lassen und als transparent arbeitende Layer-2-Netzwerkkomponente arbeiten, sind von dieser Gefahr nur begrenzt betroffen.
- Im Gegensatz zu Intrusion-Prevention-Systemen werden Angriffe nur erkannt, aber nicht verhindert.
Honeypot
- Ein Honeypot (Köder) ist ein Computer im Netzwerk, der Hacker verleiten soll, genau diesen anzugreifen
- Auf diesem Computer befinden sich weder wichtige Daten noch Dienste, die regulär genutzt werden.
- Er dient lediglich dazu, die Angriffe auf einen isolierten Teil des Netzwerkes zu lenken, indem bewusst Sicherheitslöcher geöffnet bleiben.
- Werden Aktivitäten auf diesem Computer wahrgenommen, handelt es sich höchstwahrscheinlich um einen Angriff.
- Außerdem kann mit Hilfe eines Honeypots mehr über die Vorgehensweise des Angreifers erfahren werden.
- Aus den beobachteten Angriffen können dann Verteidigungsstrategien für das übrige Netzwerk abgeleitet werden.
- Der Honeypot ist damit ein weiterer Bestandteil des IDS.
- Das Konzept des Honeypots hat allerdings einen Nachteil: Ein Honeypot kann als Eintrittspunkt dienen, um weitere Angriffe auf das Netzwerk durchzuführen.